Demain (le 25 mai 2018), le nouveau règlement européen relatif à la protection des données (RGPD) entrera en vigueur. Résumons l’impact de ces nouvelles obligations sur les services RH avec Maître Amélie d’Arailh, avocate en Droit des Affaires et Droit Economique chez Ernst & Young Société d’Avocats.
LES RH DIRECTEMENT IMPACTÉES
Au sein de l’entreprise, s’il y a bien un service qui stocke, collecte et traite la donnée personnelle, ce sont les ressources humaines. Gestion du personnel, trombinoscope, annuaire d’entreprise, traitement des candidatures,… Autant d’informations sensibles qu’il est nécessaire de protéger. On parle de données structurées quand elles proviennent des logiciels de gestion RH, ATS ou Linkedin et de données non-structurées quand elles sont récoltées via des documents contenus dans les emails (CV). Elles sont également stockés dans des dossiers partagés ou dans des fichiers Excel.
CHANGER D’APPROCHE : DU QUANTITATIF OU QUALITATIF
Demain, le RGPD imposera aux entreprises de minimiser (fin de la règle du « au cas où ») la collecte des données personnelles, de documenter tout ce qui a trait aux traitements des données personnelles et de tenir un registre de traitement des données. Ainsi que de renforcer leur protection face aux attaques. Notamment en désignant un Data Protection Officer (DPO) mission pouvant être déléguée, en interne, au service RH ou DSI. Selon Amélie d’Arailh : « Si vous êtes en mesure de documenter vos traitements de données et que vous pouvez prouver que leur collecte et traitement sont adéquats, pertinents et limités à ce qui est nécessaire. Alors, vous êtes en règle avec le RGPD». Le RGPD apporte de la transparence aux candidats, car elle exige aux entreprises de respecter certains droits à leur encontre.
LES DROITS DES CANDIDATS
Le consentement au traitement des données : le candidat doit donner son accord pour collecter et traiter ses données
- Le droit à l’information, à la rectification et à l’effacement : Les candidats devront pouvoir consulter les informations stockées les concernant (nom et prénom, email, CV, hobbies, etc.) et modifier ou supprimer ces données.
- Le droit à l’oubli : Les candidats pourront demander la suppression intégrale de leurs données
- La fuite de données : Les candidats devront pouvoir être notifiés rapidement et facilement d’une fuite de données dans le délai de 48H
- Sécurité, confidentialité et sauvegarde des données : Il est recommandé de stocker ses données sur des serveurs dans l’Union Européenne.
Amélie d’Arailh ajoute à ces droits, le droit à la portabilité. La mise à disposition des données personnelles collectées des candidats, sous un format exploitable et surtout le droit de les récupérer et de les réutiliser comme ils le souhaitent. Mais spécifie que ces droits ne doivent pas être exercés sans limites, le recruteur ayant aussi des intérêts légitimes à respecter.
SANCTIONS, PAS SANCTIONS ?
Toutes les entreprises sont concernées, mais à des degrés divers. La mise en place du RGPD étant un processus assez long, et parfois compliqué pour certaines entreprises. « La CNIL effectuera un travail de contrôle et d’accompagnement auprès des entreprises plutôt qu’un travail de sanction jusqu’au 31 décembre 2018 » indique Amélie d’Arailh. Les sanctions financières pourront aller jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros, en cas de non-respect. Mais au-delà des sanctions financières, il faut aussi considérer l’impact négatif sur l’image et la réputation de l’entreprise. Ou encore le risque de suspension -voire suppression- de l’autorisation du traitement des données. Comme l’évoque Amélie d’Arailh : « La CNIL effectuera un travail de contrôle et d’accompagnement auprès des entreprises plutôt qu’un travail de sanction jusqu’au 31 décembre 2018 »
RGPD : CONTRAINTE OU OPPORTUNITE
Beaucoup d’experts s’accordent à dire que, même si le RGPD apporte une légère restructuration pour les entreprises concernant la collecte de données, il peut devenir un véritable avantage concurrentiel en augmentant le niveau de confiance des salariés, des clients et partenaires. Mais aussi des candidats. Amélie D’Arhail assure également : « qu’il crée une émulation entre tous les services et est également un sujet fédérateur dans l’entreprise. Car nous sommes tous salariés, quel que soit notre poste. Le RGPD crée une émulation entre tous les services et est par ailleurs un sujet fédérateur dans l’entreprise. Parce que nous sommes tous concernés, peu importe notre poste ».
Alors, êtes-vous prêt pour la conformité RGPD ?
Co-Efficience est un cabinet de recrutement basé à Lyon et Paris spécialisé dans les métiers du commerce, de l’ingénierie et de la finance : « Le recrutement autrement ». Suivez toutes nos actualités sur nos différents réseaux sociaux LinkedIn, YouTube et Instagram.